CN107292169A - 恶意软件的威胁溯源方法及装置 - Google Patents
恶意软件的威胁溯源方法及装置 Download PDFInfo
- Publication number
- CN107292169A CN107292169A CN201610201164.XA CN201610201164A CN107292169A CN 107292169 A CN107292169 A CN 107292169A CN 201610201164 A CN201610201164 A CN 201610201164A CN 107292169 A CN107292169 A CN 107292169A
- Authority
- CN
- China
- Prior art keywords
- node
- file
- relation
- created
- bottom event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
Abstract
本申请提供了一种恶意软件的威胁溯源方法及装置。该方法包括以下步骤:当监测到软件的底层事件,根据所述底层事件创建节点间的关联关系,每个节点对应底层事件的一个进程或文件;当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。由于实时创建并更新节点间的关联关系网络,利用基于该关联关系网络可以快速进行威胁溯源,较之大数据分析的网络溯源方式降低甚至不需要消耗网络资源,且处理效率高。
Description
技术领域
本申请涉及软件安全技术领域,尤其涉及一种恶意软件的威胁溯源方法及装置。
背景技术
传统的恶意软件查杀工具通过不断的响应恶意软件进行分析,从而更新特征库;再使用特征库中的特征码匹配来应对新产生的恶意软件。这种方式具有一定的滞后性,不能准确的防御未知的恶意软件。
主动防御的兴起在一定程度上解决了这个问题,通过行为的判断分析一个进程是否是恶意进程,从而进行放行或阻断。但一些精心设计的恶意软件往往具有复杂的链路,主动防御所检测到的一般是最后一环,即使进程被阻断或恶意程序被删除,攻击的入口(或称源头)并没有被发现,仍然存在被二次攻击的可能。
例如,用户双击浏览器打开IE并下载安装软件Install.exe,运行Install.exe之后,该安装软件创建了正常安装需要的文件,以及b.exe。并且Install.exe对一个正常运行的进程normal.exe进行了注入,通过normal.exe创建了文件malware.exe,随后启动了b.exe进程,b.exe进程启动了malware.exe进程,至此,一个隐藏的malware软件被安装并启动。
恶意软件通过将进程启动和对应文件的下载分开混淆的方式,使得恶意软件查杀工具很难发现真正的来源。
威胁溯源是指根据恶意软件留下的线索,通过一个触发点找到最终的攻击入口以及整个攻击链路。
目前恶意软件的威胁溯源方案基本采用大数据分析的方式进行。但大数据分析需要多台(可能是海量的)设备上的恶意软件的行为数据,其运算量大,消耗网络资源,处理效率较低,存在滞后性。
发明内容
本申请的目的是提供一种恶意软件的威胁溯源方法及装置,达到实时进行威胁溯源的目的,解决主动防御无法进行威胁溯源的问题,以及通过大数据分析进行威胁溯源消耗网络资源及存在滞后性的问题。
根据本申请的一个方面,提供一种恶意软件的威胁溯源方法,该方法包括以下步骤:当监测到软件的底层事件,根据所述底层事件创建节点间的关联关系,每个节点对应底层事件的一个进程或文件;当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。
根据本申请的另一方面,还提供了一种恶意软件的威胁溯源方法,该方法包括以下步骤:软件安装或运行过程中,实时创建节点间的关联关系,每个节点对应软件的一个进程或文件;当恶意软件安装或运行,根据已创建的关联关系查找并记录恶意软件相关的所有危险进程和文件。
根据本申请的又一方面,还提供了一种恶意软件的威胁溯源装置,该装置包括:关联关系创建模块,用于当监测到软件的底层事件,根据所述底层事件创建节点间的关联关系,每个节点对应底层事件的一个进程或文件;威胁溯源模块,用于当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。
与现有技术相比,本申请具有以下优点:每监测到本终端的软件的底层事件,即创建所述底层事件的进程和/或文件对应的节点间的关联关系。以进程A创建进程B这一进程创建事件为例,进程A为父进程,进程B为子进程,创建进程A对应的节点与进程B对应的节点之间的关联关系,该关联关系为创建进程关系。其中,同一个进程或文件可能出现在不同的底层事件中,例如,一个底层事件为进程A创建进程B,另一个底层事件为进程B创建进程A。那么,本申请实施例实际上根据监测到的底层事件,实时创建并更新关联关系网络。当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。检测到的恶意软件的进程相关的所有危险进程和文件,其中必然包括恶意软件的攻击入口,且相关的所有危险进程和文件构成了恶意软件的完整链路,从源头上避免二次攻击。由于实时创建并更新节点间的关联关系网络,利用基于该关联关系网络可以快速进行威胁溯源,较之大数据分析的网络溯源方式降低甚至不需要消耗网络资源,且处理效率高。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例提供的威胁溯源方法流程图;
图2为本申请实施例提供的一个行为图;
图3为本申请实施例提供的创建节点之间的进程创建关系的方法流程图;
图4为本申请实施例提供的创建节点之间的映像关系的方法流程图;
图5为本申请实施例提供的文件变动事件对应的节点间关系创建方法流程图;
图6为本申请实施例提供的注入事件对应的节点间关系创建方法流程图;
图7为本申请实施例提供的查杀工具的系统结构示意图;
图8为本申请实施例提供的另一个行为图;
图9为本申请实施例提供的进程溯源方法示意图;
图10为本申请实施例提供的文件溯源方法示意图;
图11为本申请实施例提供的溯源结果示意图;
图12为本申请实施例提供的装置结构示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
在上下文中所称“节点”、“负载均衡设备”是一种计算机设备,指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备,其可以包括处理器与存储器,由处理器执行在存储器中预存的存续指令来执行预定处理过程,或是由ASIC、FPGA、DSP等硬件执行预定处理过程,或是由上述二者组合来实现。
需要说明的是,所述计算机设备仅为举例,其他现有的或今后可能出现的计算机设备如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。
后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。
这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。
应当理解的是,当一个模块被称为“连接”或“耦合”到另一模块时,其可以直接连接或耦合到所述另一模块,或者可以存在中间模块。与此相对,当一个模块被称为“直接连接”或“直接耦合”到另一模块时,则不存在中间单元。应当按照类似的方式来解释被用于描述模块之间的关系的其他词语(例如“处于...之间”相比于“直接处于...之间”,“与...邻近”相比于“与...直接邻近”等等)。
这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。
还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。
下面结合附图对本申请作进一步详细描述。
图1为本申请一个实施例的恶意软件的威胁溯源方法的流程示意图。
其中,本实施例的方法主要通过计算机设备来实现,根据本实施例的方法包括步骤S110-S120。
在步骤S110中,当监测到软件的底层事件,根据所述底层事件创建节点间的关联关系,每个节点对应底层事件的一个进程或文件。
本申请实施例所述的底层事件,可以但不仅限于包括进程创建事件,文件变动事件,注入事件。
以进程A创建进程B这一进程创建事件为例,进程A为父进程,进程B为子进程,创建进程A对应的节点与进程B对应的节点之间的关联关系,该关联关系为创建进程关系。其中,同一个进程或文件可能出现在不同的底层事件中,例如,一个底层事件为进程A创建进程B,另一个底层事件为进程B创建进程A。那么,本申请实施例实际上根据监测到的底层事件,实时创建并更新关联关系网络。
其中,进程创建事件中,创建进程的进程称为父进程,创建的进程称为子进程。监测到进程创建事件,还至少包括对创建进程的路径的监测。
其中,文件变动事件是指进程创建或修改文件的事件,分为文件创建事件和文件修改事件。
其中,注入事件是指一个进程注入另一个进程的事件。
本申请实施例中,可以但不仅限于利用恶意软件查杀工具的驱动监测到的底层事件。
在步骤S120中,当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。
本申请实施例中,不对检测恶意软件的进程的实现方式进行限定。例如,可以利用主动防御技术检测恶意软件的进程。
本申请实施例中,检测到的恶意软件的进程相关的危险进程和文件是指恶意软件的链路上涉及到的进程和文件。
应当指出的是,图1所示的流程图仅表示步骤S110与步骤S120之间存在逻辑关系,不表示这两个步骤之间的执行时间顺序。
本申请实施例中,根据监测到的底层事件,实时创建并更新关联关系网络。当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。检测到的恶意软件的进程相关的所有危险进程和文件,其中必然包括恶意软件的攻击入口,且相关的所有危险进程和文件构成了恶意软件的完整链路,从源头上避免二次攻击。由于实时创建并更新节点间的关联关系网络,利用基于该关联关系网络可以快速进行威胁溯源,较之大数据分析的网络溯源方式降低甚至不需要消耗网络资源,且处理效率高。
本申请实施例主要分为关联关系网络的建立和威胁溯源分析两大部分。下面分别对这两大部分的具体实现方式进行说明。
关联关系网络的建立是将各进程以及各进程的行为进行关联,是进行溯源分析的基础。
本发明实施例中,关联关系网络的表现形式可以是行为图。例如,explorer.exe进程启动(即创建)了进程A.exe和C.exe,进程A创建了文件B.exe,进程C启动了进程B.exe,进程B.exe的映像(image)文件是进程A所创建的B.exe。这一过程中的各进程及文件的关联关系网络如图2的行为图所示。
关联关系网络的建立基于上述步骤S110实现,上述步骤S110的实现方式有多种。一种实现方式中,判断底层事件的类型;按照该底层事件的类型对应的模式创建该底层事件的进程和/或文件对应的节点间的关联关系。
对于创建进程事件,查找创建进程事件中父进程对应的节点;若未查找到,创建创建进程(Create Process,CP)事件的父进程对应的节点;创建创建进程事件中子进程对应的节点;创建所述父进程对应的节点与所述子进程对应的节点之间的进程创建关系;查找所述子进程的映像文件对应的节点;若未查找到,创建所述映像文件对应的节点;创建所述子进程对应的节点与所述映像文件对应的节点之间的映像关系。
其中,创建节点之间的进程创建关系的方法如图3所示:
步骤S300、判断父进程对应的节点(简称父进程节点)是否存在,若存在,执行步骤S320,若不存在,执行步骤S310;
步骤S310、创建父进程节点;
步骤S320、创建子进程对应的节点(简称子进程节点);
步骤S330、创建父进程节点与子进程节点之间的进程创建关系。
其中,创建节点之间的映像(IM)关系的方法如图4所示:
步骤S400、判断子进程的映像文件对应的节点是否存在;若存在,执行步骤S420,若不存在,执行步骤S410;
步骤S410、创建映像文件对应的节点(简称文件节点);
步骤S420、创建子进程节点与文件节点的映像关系。
本申请实施例中,具体根据进程创建事件记录的路径确定子进程的映像文件。
对于文件变动事件,查找文件变动事件的文件对应的节点;若未查找到,创建所述文件对应的节点;创建所述文件对应的节点与变动所述文件的进程对应的节点之间的文件变动关系。
其具体实现方式如图5所示:
步骤S500、判断文件对应的节点(简称文件节点)是否存在,若存在,执行步骤S510,若不存在,执行步骤S520;
步骤S510、创建文件节点;
步骤S520、查找或创建创建文件(CF,Create new File)的进程对应的节点;
步骤S530、创建进程节点与文件节点的文件变动关系。
对于注入(IJ,Injection)事件,查找注入事件中被注入的进程对应的节点;若未查找到,创建所述被注入的进程对应的节点;查找所述底层事件中发起注入的进程对应的节点;若未查找到,创建所述发起注入的进程对应的节点;创建所述发起注入的进程对应的节点与所述被注入的进程对应的节点之间的注入关系。
其具体实现方式如图6所示:
步骤S600、判断被注入的进程对应的节点(简称被注入进程节点)是否存在;若存在,执行步骤S620,若不存在,执行步骤S610;
步骤S610、创建被注入进程节点;
步骤S620、判断发起注入的进程对应的节点(发起注入进程节点)是否存在,若存在,执行步骤S630,若不存在,执行步骤S640;
步骤S630、创建发起注入进程节点;
步骤S640、创建发起注入进程节点与被注入进程节点之间的注入关系。
溯源的分析,其实就是基于行为图的回溯和裁剪过程。主要分为文件来源的回溯和进程来源的回溯。
溯源分析通过上述步骤S120实现。具体可以根据已创建的关联关系查找并记录实际创建目标进程的进程,和实际变动目标文件的进程,重复该步骤直至查找到原始进程,所述目标进程为所述检测到的进程或上一次查找到的进程,所述目标文件为所述目标进程的映像文件。
其中,根据已创建的关联关系查找并记录实际创建目标进程的进程的步骤包括:查找与所述目标进程对应的节点存在进程创建关系的上一级节点;判断是否存在与查找到的节点存在注入关系的上一级节点;若存在,判断存在注入关系的上一级节点是否与启动进程关联;若关联,记录存在注入关系的上一级节点对应的进程作为实际创建目标进程的进程;若不关联,记录所述目标进程的父进程作为实际创建目标进程的进程;
若不存在,记录所述目标进程的父进程作为实际创建目标进程的进程。
其中,所述根据已创建的关联关系查找并记录实际变动目标文件的进程的步骤包括:查找与所述目标文件对应的节点存在文件变动关系的上一级节点;判断是否存在与查找到的节点存在注入关系的上一级节点;若存在,记录存在注入关系的上一级节点对应的进程作为实际变动目标文件的进程;若不存在,记录创建所述目标文件的进程作为实际变动目标文件的进程。
基于上述任意方法实施例,可选的,该方法还包括:显示所述恶意进程相关的所有危险进程和文件。
下面结合具体应用场景对本申请实施例提供的技术方案进行详细说明。
在一个应用场景中,利用主动防御的恶意软件查杀工具实现威胁溯源,该查杀工具的系统结构如图7所示。
用户双击浏览器打开I E并下载安装软件I nsta l l.exe,运行I nsta l l.exe之后,该安装软件创建了正常安装需要的文件,以及b.exe。并且I nsta l l.exe对一个正常运行的进程norma l.exe进行了注入,通过norma l.exe创建了文件ma l ware.exe,随后启动了b.exe进程,b.exe进程启动了ma l ware.exe进程,至此,一个隐藏的ma l ware软件被安装并启动。
对于上述过程,行为图逻辑创建行为图,如图8所示。
溯源逻辑基于行为图进行溯源分析。
其中包括文件来源的回溯和进程来源的回溯。
文件来源的回溯,主要目的是找到真正的文件创建者,通过CF关系以及进程创建和注入的关系可以一级一级回溯,流程如图9所示。
以ma lware.exe为例,通过回溯查找到i nsta l l.exe为文件的创建者而非norma l.exe。
进程来源的分析通过对CP和I J的关系回溯,可以找到最为原始可疑的进程,主要回溯逻辑如图10所示。
通过对文件和进程来源的回溯,对当前内存中的关系图进行裁剪,可以为用户提供可视化的入侵链路,明确入侵的真正来源。假设检测引擎发现ma lware.exe是恶意文件,那么通过回溯裁剪后,可以得到图11。
裁剪后的图可以清晰的展示整个链路:用户下载I nsta l l.exe携带恶意软件,相关的文件有b.exe和ma lware.exe。借助行为图的建立和回溯分析,在发现ma lware的同时,可以发现真正的源头以及中间其它相关的风险程序。
基于与方法同样的发明构思,本申请实施例还提供一种恶意软件的威胁溯源装置,如图12所示,该装置包括:
关联关系创建模块1200,用于每监测到软件的底层事件,即创建所述底层事件的进程和/或文件对应的节点间的关联关系,每个节点对应一个进程或文件;
威胁溯源模块1201,用于当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。
可选的,所述关联关系创建模块具体用于:
判断所述底层事件的类型;
按照所述底层事件的类型对应的模式创建所述底层事件的进程和/或文件对应的节点间的关联关系。
可选的,所述关联关系创建模块具体用于:
查找所述底层事件中父进程对应的节点,所述底层事件为创建进程事件;
若未查找到,创建所述底层事件的父进程对应的节点;
创建所述底层事件中子进程对应的节点;
创建所述父进程对应的节点与所述子进程对应的节点之间的进程创建关系;
查找所述子进程的映像文件对应的节点;
若未查找到,创建所述映像文件对应的节点;
创建所述子进程对应的节点与所述映像文件对应的节点之间的映像关系。
可选的,所述关联关系创建模块具体用于:
查找所述底层事件的文件对应的节点,所述底层事件为文件变动事件;
若未查找到,创建所述文件对应的节点;
创建所述文件对应的节点与变动所述文件的进程对应的节点之间的文件变动关系。
可选的,创建所述文件对应的节点与变动所述文件的进程对应的节点之间的文件变动关系之前,所述关联关系创建模块还用于:
查找变动所述文件的进程对应的节点;
若未查找到,创建变动所述文件的进程对应的节点。
可选的,所述关联关系创建模块具体用于:
查找所述底层事件中被注入的进程对应的节点,所述底层事件为注入事件;
若未查找到,创建所述被注入的进程对应的节点;
查找所述底层事件中发起注入的进程对应的节点;
若未查找到,创建所述发起注入的进程对应的节点;
创建所述发起注入的进程对应的节点与所述被注入的进程对应的节点之间的注入关系。
基于上述任意装置实施例,可选的,所述威胁溯源模块具体用于:
根据已创建的关联关系查找并记录实际创建目标进程的进程,和实际变动目标文件的进程,重复该步骤直至查找到原始进程,所述目标进程为所述检测到的进程或上一次查找到的进程,所述目标文件为所述目标进程的映像文件。
可选的,所述威胁溯源模块具体用于:
查找与所述目标进程对应的节点存在进程创建关系的上一级节点;
判断是否存在与查找到的节点存在注入关系的上一级节点;
若存在,判断与查找到的节点存在注入关系的上一级节点是否与启动进程关联;若关联,记录存与查找到的节点在注入关系的上一级节点对应的进程作为实际创建目标进程的进程;若不关联,记录所述目标进程的父进程作为实际创建目标进程的进程;
若不存在,记录所述目标进程的父进程作为实际创建目标进程的进程。
可选的,所述威胁溯源模块具体用于:
查找与所述目标文件对应的节点存在文件变动关系的上一级节点;
判断是否存在与查找到的节点存在注入关系的上一级节点;
若存在,记录与查找到的节点存在注入关系的上一级节点对应的进程作为实际变动目标文件的进程;
若不存在,记录创建所述目标文件的进程作为实际变动目标文件的进程。
基于上述任意装置实施例,可选的,还包括显示处理模块,用于显示所述检测到的进程相关的所有危险进程和文件。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,本申请的各个装置可采用专用集成电路(ASIC)或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
虽然前面特别示出并且描述了示例性实施例,但是本领域技术人员将会理解的是,在不背离权利要求书的精神和范围的情况下,在其形式和细节方面可以有所变化。
Claims (21)
1.一种恶意软件的威胁溯源方法,其特征在于,该方法包括以下步骤:
当监测到软件的底层事件,根据所述底层事件创建节点间的关联关系,每个节点对应底层事件的一个进程或文件;
当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。
2.根据权利要求1所述的方法,其特征在于,所述根据所述底层事件创建节点间的关联关系的步骤包括:
判断所述底层事件的类型;
按照所述底层事件的类型对应的模式创建所述底层事件的进程和/或文件对应的节点间的关联关系。
3.根据权利要求2所述的方法,其特征在于,所述按照所述底层事件的类型对应的模式创建所述底层事件的进程和/或文件对应的节点间的关联关系的步骤包括:
查找所述底层事件中父进程对应的节点,所述底层事件为创建进程事件;
若未查找到,创建所述底层事件的父进程对应的节点;
创建所述底层事件中子进程对应的节点;
创建所述父进程对应的节点与所述子进程对应的节点之间的进程创建关系;
查找所述子进程的映像文件对应的节点;
若未查找到,创建所述映像文件对应的节点;
创建所述子进程对应的节点与所述映像文件对应的节点之间的映像关系。
4.根据权利要求2所述的方法,其特征在于,所述按照所述底层事件的类型对应的模式创建所述底层事件的进程和/或文件对应的节点间的关联关系的步骤包括:
查找所述底层事件的文件对应的节点,所述底层事件为文件变动事件;
若未查找到,创建所述文件对应的节点;
创建所述文件对应的节点与变动所述文件的进程对应的节点之间的文件变动关系。
5.根据权利要求4所述的方法,其特征在于,所述创建所述文件对应的节点与变动所述文件的进程对应的节点之间的文件变动关系的步骤之前,该方法还包括:
查找变动所述文件的进程对应的节点;
若未查找到,创建变动所述文件的进程对应的节点。
6.根据权利要求2所述的方法,其特征在于,所述按照所述底层事件的类型对应的模式创建所述底层事件的进程和/或文件对应的节点间的关联关系的步骤包括:
查找所述底层事件中被注入的进程对应的节点,所述底层事件为注入事件;
若未查找到,创建所述被注入的进程对应的节点;
查找所述底层事件中发起注入的进程对应的节点;
若未查找到,创建所述发起注入的进程对应的节点;
创建所述发起注入的进程对应的节点与所述被注入的进程对应的节点之间的注入关系。
7.根据权利要求1~6任一项所述的方法,其特征在于,所述根据已创建的关联关系查找并记录所述恶意进程相关的所有危险进程和文件的过程中,包括:
根据已创建的关联关系查找并记录实际创建目标进程的进程,和实际变动目标文件的进程,重复该步骤直至查找到原始进程,所述目标进程为所述检测到的进程或上一次查找到的进程,所述目标文件为所述目标进程的映像文件。
8.根据权利要求7所述的方法,其特征在于,所述根据已创建的关联关系查找并记录实际创建目标进程的进程的步骤包括:
查找与所述目标进程对应的节点存在进程创建关系的上一级节点;
判断是否存在与查找到的节点存在注入关系的上一级节点;
若存在,判断存在注入关系的上一级节点是否与启动进程关联;若关联,记录存在注入关系的上一级节点对应的进程作为实际创建目标进程的进程;若不关联,记录所述目标进程的父进程作为实际创建目标进程的进程;
若不存在,记录所述目标进程的父进程作为实际创建目标进程的进程。
9.根据权利要求7所述的方法,其特征在于,所述根据已创建的关联关系查找并记录实际变动目标文件的进程的步骤包括:
查找与所述目标文件对应的节点存在文件变动关系的上一级节点;
判断是否存在与查找到的节点存在注入关系的上一级节点;
若存在,记录存在注入关系的上一级节点对应的进程作为实际变动目标文件的进程;
若不存在,记录创建所述目标文件的进程作为实际变动目标文件的进程。
10.根据权利要求1~6任一项所述的方法,其特征在于,该方法还包括:
显示所述恶意进程相关的所有危险进程和文件。
11.一种恶意软件的威胁溯源方法,其特征在于,该方法包括以下步骤:
软件安装或运行过程中,实时创建节点间的关联关系,每个节点对应软件的一个进程或文件;
当恶意软件安装或运行,根据已创建的关联关系查找并记录恶意软件相关的所有危险进程和文件。
12.一种恶意软件的威胁溯源装置,其特征在于,该装置包括:
关联关系创建模块,用于当监测到软件的底层事件,根据所述底层事件创建节点间的关联关系,每个节点对应底层事件的一个进程或文件;
威胁溯源模块,用于当检测到恶意软件的进程,根据已创建的关联关系查找并记录检测到的进程相关的所有危险进程和文件。
13.根据权利要求11所述的装置,其特征在于,所述关联关系创建模块具体用于:
判断所述底层事件的类型;
按照所述底层事件的类型对应的模式创建所述底层事件的进程和/或文件对应的节点间的关联关系。
14.根据权利要求13所述的装置,其特征在于,所述关联关系创建模块具体用于:
查找所述底层事件中父进程对应的节点,所述底层事件为创建进程事件;
若未查找到,创建所述底层事件的父进程对应的节点;
创建所述底层事件中子进程对应的节点;
创建所述父进程对应的节点与所述子进程对应的节点之间的进程创建关系;
查找所述子进程的映像文件对应的节点;
若未查找到,创建所述映像文件对应的节点;
创建所述子进程对应的节点与所述映像文件对应的节点之间的映像关系。
15.根据权利要求13所述的装置,其特征在于,所述关联关系创建模块具体用于:
查找所述底层事件的文件对应的节点,所述底层事件为文件变动事件;
若未查找到,创建所述文件对应的节点;
创建所述文件对应的节点与变动所述文件的进程对应的节点之间的文件变动关系。
16.根据权利要求15所述的装置,其特征在于,创建所述文件对应的节点与变动所述文件的进程对应的节点之间的文件变动关系之前,所述关联关系创建模块还用于:
查找变动所述文件的进程对应的节点;
若未查找到,创建变动所述文件的进程对应的节点。
17.根据权利要求13所述的装置,其特征在于,所述关联关系创建模块具体用于:
查找所述底层事件中被注入的进程对应的节点,所述底层事件为注入事件;
若未查找到,创建所述被注入的进程对应的节点;
查找所述底层事件中发起注入的进程对应的节点;
若未查找到,创建所述发起注入的进程对应的节点;
创建所述发起注入的进程对应的节点与所述被注入的进程对应的节点之间的注入关系。
18.根据权利要求12~17任一项所述的装置,其特征在于,所述威胁溯源模块具体用于:
根据已创建的关联关系查找并记录实际创建目标进程的进程,和实际变动目标文件的进程,重复该步骤直至查找到原始进程,所述目标进程为所述检测到的进程或上一次查找到的进程,所述目标文件为所述目标进程的映像文件。
19.根据权利要求18所述的装置,其特征在于,所述威胁溯源模块具体用于:
查找与所述目标进程对应的节点存在进程创建关系的上一级节点;
判断是否存在与查找到的节点存在注入关系的上一级节点;
若存在,判断与查找到的节点存在注入关系的上一级节点是否与启动进程关联;若关联,记录存与查找到的节点在注入关系的上一级节点对应的进程作为实际创建目标进程的进程;若不关联,记录所述目标进程的父进程作为实际创建目标进程的进程;
若不存在,记录所述目标进程的父进程作为实际创建目标进程的进程。
20.根据权利要求18所述的装置,其特征在于,所述威胁溯源模块具体用于:
查找与所述目标文件对应的节点存在文件变动关系的上一级节点;
判断是否存在与查找到的节点存在注入关系的上一级节点;
若存在,记录与查找到的节点存在注入关系的上一级节点对应的进程作为实际变动目标文件的进程;
若不存在,记录创建所述目标文件的进程作为实际变动目标文件的进程。
21.根据权利要求12~7任一项所述的装置,其特征在于,还包括显示处理模块,用于显示所述检测到的进程相关的所有危险进程和文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610201164.XA CN107292169B (zh) | 2016-03-31 | 2016-03-31 | 恶意软件的威胁溯源方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610201164.XA CN107292169B (zh) | 2016-03-31 | 2016-03-31 | 恶意软件的威胁溯源方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107292169A true CN107292169A (zh) | 2017-10-24 |
| CN107292169B CN107292169B (zh) | 2021-04-16 |
Family
ID=60086837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610201164.XA Active CN107292169B (zh) | 2016-03-31 | 2016-03-31 | 恶意软件的威胁溯源方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107292169B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197041A (zh) * | 2017-12-28 | 2018-06-22 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN109271760A (zh) * | 2018-08-08 | 2019-01-25 | 北京奇虎科技有限公司 | 文件回溯方法、装置和设备 |
| CN109784051A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 信息安全防护方法、装置及设备 |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| WO2020102925A1 (zh) * | 2018-11-20 | 2020-05-28 | 马勇 | 一种混合环境下静态对象篡改的监测方法 |
| CN111277585A (zh) * | 2020-01-16 | 2020-06-12 | 深信服科技股份有限公司 | 威胁处理方法、装置、设备和可读存储介质 |
| CN111628964A (zh) * | 2020-04-03 | 2020-09-04 | 北京奇艺世纪科技有限公司 | 网络攻击溯源方法及装置 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN113315775A (zh) * | 2021-06-01 | 2021-08-27 | 深信服科技股份有限公司 | 恶意事件的定位方法、系统、存储介质和终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
-
2016
- 2016-03-31 CN CN201610201164.XA patent/CN107292169B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350052A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101604361A (zh) * | 2008-06-11 | 2009-12-16 | 北京奇虎科技有限公司 | 一种恶意软件的检测方法及装置 |
| CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197041A (zh) * | 2017-12-28 | 2018-06-22 | 北京奇虎科技有限公司 | 一种确定子进程的父进程的方法、设备及其存储介质 |
| CN109271760A (zh) * | 2018-08-08 | 2019-01-25 | 北京奇虎科技有限公司 | 文件回溯方法、装置和设备 |
| WO2020102925A1 (zh) * | 2018-11-20 | 2020-05-28 | 马勇 | 一种混合环境下静态对象篡改的监测方法 |
| CN109784051A (zh) * | 2018-12-29 | 2019-05-21 | 360企业安全技术(珠海)有限公司 | 信息安全防护方法、装置及设备 |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN110826067B (zh) * | 2019-10-31 | 2022-08-09 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN111181918B (zh) * | 2019-11-29 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
| CN111277585A (zh) * | 2020-01-16 | 2020-06-12 | 深信服科技股份有限公司 | 威胁处理方法、装置、设备和可读存储介质 |
| CN111628964A (zh) * | 2020-04-03 | 2020-09-04 | 北京奇艺世纪科技有限公司 | 网络攻击溯源方法及装置 |
| CN111628964B (zh) * | 2020-04-03 | 2022-09-30 | 北京奇艺世纪科技有限公司 | 网络攻击溯源方法及装置 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN111756759B (zh) * | 2020-06-28 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN113315775A (zh) * | 2021-06-01 | 2021-08-27 | 深信服科技股份有限公司 | 恶意事件的定位方法、系统、存储介质和终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107292169B (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107292169A (zh) | 恶意软件的威胁溯源方法及装置 | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| US9071636B2 (en) | Predictive scoring management system for application behavior | |
| US10862926B2 (en) | Cybersecurity threat detection and mitigation system | |
| CN104050417B (zh) | 一种在移动终端对软件状态进行检测的方法及装置 | |
| CN110837640B (zh) | 恶意文件的查杀方法、查杀设备、存储介质及装置 | |
| CN110378108A (zh) | 经由沙盒检测恶意文件感染 | |
| CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| CN107547526A (zh) | 一种云地结合的数据处理方法及装置 | |
| CN111783105B (zh) | 渗透测试方法、装置、设备及存储介质 | |
| CN114866358B (zh) | 一种基于知识图谱的自动化渗透测试方法及系统 | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN108038375A (zh) | 一种恶意文件检测方法及装置 | |
| CN106250761A (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN111447167A (zh) | 车载系统安全防护方法及装置 | |
| CN106683108A (zh) | 确定视频帧中平坦区域的方法、装置及电子设备 | |
| CN106302515A (zh) | 一种网站安全防护的方法和装置 | |
| CN109977671A (zh) | 一种基于编译器修改的Android锁屏型勒索软件检测方法 | |
| CN106411951A (zh) | 网络攻击行为检测方法及装置 | |
| CN116208416A (zh) | 一种工业互联网的攻击链路挖掘方法及系统 | |
| CN105825086A (zh) | 一种基于攻击树的rop防护方法 | |
| CN106874769B (zh) | 漏洞的防御方法和装置 | |
| CN116204876A (zh) | 异常检测方法、设备以及存储介质 | |
| CN114528552A (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |